Entenda por que as empresas nacionais devem se atentar ainda mais à coleta de dados pessoais de seus usuários a partir de 25 de maio de 2018.
O Regulamento Geral de Proteção de Dados da União Europeia, mais conhecido pela sigla GDPR, se refere à “mudança mais importante na regulação da proteção de dados nos últimos 20 anos”. Embora seja uma norma formulada no âmbito da comunidade europeia, sua regulamentação possui incidência extraterritorial, razão pela qual podem haver casos em que suas regras devem ser observadas também em território brasileiro, como se verá mais adiante.
Em linhas gerais, esse novo regulamento estabelece diretrizes acerca do tratamento de dados pessoais de cidadãos europeus (sejam eles residentes dos países membros da União Europeia ou não), harmonizando as normas dentro do bloco no intuito de criar ambientes digitais mais seguros.O objetivo geral dessa norma é, portanto, proteger a privacidade dos usuários, evitando ou amenizando os prejuízos de eventuais usos indevidos ou vazamentos de seus dados.
Além desse regulamento, também com incidência nos países europeus, há outros diplomas que podem ser aplicados a esses mesmos fins de tutela quanto aos dados pessoais – por exemplo, a Carta dos Direitos Fundamentais da UE e a Convenção Europeia dos Direitos do Homem). Dentre eles, merece destaque a Convenção 108 de 1981, que foi o “primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados” a ter sua incidência internacionalizada no que tange ao tratamento automatizado de dados pessoais. Desde aquela época, a busca já era por maior participação dos próprios usuários nos rumos de seus dados, assim como a ampliação das medidas de transparência.
O GDPR, que entrará em vigor a partir de 25 de maio de 2018, depois de 24 meses de vacatio legis,será responsável por revogar a Diretiva anterior relativa à proteção de dados (95/46/CE), datada de 1995 e que já se encontra defasada diante de todo o contexto tecnológico atual.
Dentre as alterações previstas no GDPR, algumas merecem destaque, vejamos. A primeira delas se trata do dever imposto às companhias de proverem aos seus usuários a descrição de todas as práticas de coleta de dados, inclusive descrevendo como essas informações serão posteriormente utilizadas, em uma linguagem clara.
Além disso, também será assegurada aos usuários a opção de aderirem à coleta de informações (“opt-in”) – e não o contrário (“opt-out”) – ou seja, a configuração padrão não será aquela permitindo coleta, o que exigiria do usuário um posterior “descadastramento” caso não desejasse disponibilizar seus dados, mas, sim, a de não permitir, de modo que será necessária expressa anuência para tal. Logo, “as opções pré-selecionadas nos sites, ou o silêncio/omissão por parte da pessoa singular após a leitura da declaração de privacidade, não constituem um consentimento”.
Outra inovação do regulamento, e que representa um grande salto em matéria de direitos dos usuários, se refere à “portabilidade dos dados”, que nada mais é do que a possibilidade de fazer com que seus dados possam circular, serem copiados ou mesmo transferidos a outras plataformas. É o caso, por exemplo, de uma lista de reprodução em um serviço de músicas: se o usuário desejar, poderá transferi-la a outra plataforma fornecedora do mesmo serviço.
Além disso, em caso de vazamento de dados, as empresas terão o prazo de 72 horas para comunicar às autoridades competentes. O descumprimento desse dever, assim como outras inobservâncias do regulamento podem ensejar a aplicação de multas. Tais penalidades estão previstas no próprio GDPR e são significativas.
“As multas previstas no GDPR são bastante pesadas, em uma tentativa de levantar o interesse de organizações que encaravam suas responsabilidades na proteção de dados de forma descompromissada ou pouco séria. Pequenas infrações podem resultar em multas de até €10 milhões ou 2% do volume de negócios global da empresa; infrações mais graves podem chegar a €20 milhões ou 4% do volume de negócios global da empresa (o que for maior)”, explica Maria Fernanda Hosken Perongini, professora de propriedade intelectual no mestrado em Direito Empresarial da FGV Direito Rio.
No quadro abaixo, divulgado em um guia sobre o tema, produzido por uma empresa portuguesa de desenvolvimento de softwares, é possível conferir um resumo das principais disposições previstas no regulamento europeu:
Cientes dessas novidades e retomando o que já foi mencionado quanto à extraterritorialidade,nota-se que as regras desse novo regulamento podem ser aplicáveis até mesmo aos cidadãos brasileiros, quando estes possuírem dupla cidadania, por exemplo. Ou seja, independentemente do país de localização da empresa que obtém ou utiliza os dados, ou mesmo do país de residência do usuário, se este for considerado cidadão europeu para os fins legais, será protegido pela norma e, portanto, as empresas que lidarem com seus dados deverão observar a respectiva regulamentação.
Analisando o contexto legal brasileiro, a proteção de dados pessoais no país ainda não possui uma norma específica, mas, na realidade, pode ser objeto de diversos diplomas legais, dentre os quais, obviamente, encontra-se o Marco Civil da Internet (Lei nº 12.965/2014) e suas regulamentações, em especial o Decreto nº 8771/2016, assim como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo e a Lei do Sigilo Bancário.
No mais, também contamos com alguns projetos de lei em trâmite em ambas as casas do Congresso, tais como o PLS 330/2013 (dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências), PLS 181/2014(estabelece princípios, garantias, direitos e obrigações referentes à proteção de dados pessoais) e o PLS 131/2014 (dispõe sobre o fornecimento de dados de cidadãos ou empresas brasileiros a organismos estrangeiros), o PL 4060/2012, ao qual outros projetos foram apensados, dentre eles o PL 5276/2016, que dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural, de modo que se busca instituir uma “Lei Geral de Proteção de Dados Pessoais” no Brasil, cujos termos, inclusive, são bem próximos aos do regulamento europeu.
Diante disso, sabendo das alterações e inovações propostas pela norma e, ao mesmo tempo, considerando o cenário da regulamentação ainda pouco nítido no Brasil, a pergunta que fica é: as empresas no país – nos casos em que devem se submeter à nova norma – estão preparadas para isso?
Como dito, as empresas brasileiras (ou quaisquer outras fora dos limites geográficos da União Europeia) deverão se adequar e observar as regras do GDPR caso ofereçam seus serviços ou produtos diretamente ao mercado da UE ou caso tratem dados de cidadãos europeus. Logo, as empresas devem se adequar e cumprir essa nova norma (o que podemos chamar de compliance) se pretenderem manter sua atuação legítima nessa parcela importante do mercado. Vale lembrar que, atualmente, a Comissão Europeia considera que o nível de proteção de dados no Brasil não é “adequado”, de modo que caberá às empresas demonstrar sua efetiva adequação à norma da UE.
Para isso, é necessário planejamento e o apoio de pessoal especializado, a fim de revisar as medidas já empregadas e implementar aquelas que ainda não estiverem de acordo com as exigências do GDPR, a fim de evitar as altas multas, o ostracismo daquele mercado e, desde logo, adequar-se às possíveis futuras alterações legislativas que se encaminham no Brasil, muitas vezes seguindo os moldes internacionais.
Leia também:
Advocacia de dados e o futuro da tecnologia jurídica
7 tendências de tecnologia jurídica para 2018 – é hora de inovar
5 razões para ter softwares jurídicos na gestão do escritório de advocacia
